文档首页/ 安全云脑 SecMaster/ 最佳实践/ 安全云脑护网/重保最佳实践/ 步骤三:安全自查与整改/ 基线检查
更新时间:2024-10-24 GMT+08:00
查看PDF
分享

基线检查

安全云脑支持根据基线检查计划检查您的服务基线配置是否存在风险,提供了“安全上云合规检查1.0”“等保2.0三级要求”“护网检查”“华为云安全配置基线”几大风险类别遵从包。

护网/重保期间推荐使用“安全上云合规检查1.0”“护网检查”两个规范

检查之后分类呈现云服务配置检测结果,告警提示存在安全隐患的配置,并提供相应配置加固建议和帮助指导。

所有检查项检查完成之后进入详情页面,不合格检查项按照加固建议进行修复,特别是靶标,通过资产搜索,清零不合格检查项。同时,配置检查计划,每天定时扫描刷新结果。

设置基线检查计划

检查计划是规范和时间组合形成的,也就是设置的定时扫描任务。通过配置检查计划自动的定期的对资产进行检查,保证检查结果的即时性。

护网/重保期间推荐对“护网检查规范”配置对应检查计划,配置策略周期为每天检查一次。

  1. 登录安全云脑控制台,并进入目标工作空间管理页面。
  2. 在左侧导航栏选择风险预防 > 基线检查,进入基线检查页面后,选择“安全遵从包”页签,并在安全遵从包页面中,选择“检查计划”页签,进入检查计划管理页面。

    图1 进入检查计划页面

  3. 在检查计划页面中,单击“创建计划”,系统右侧弹出新建检查计划页面。
  4. 在新建检查计划页面中,配置检查计划。

    表1 新建检查计划

    参数名称

    参数说明

    基本信息

    计划名称

    自定义检查计划的名称。

    检查时间

    建议设置为每隔1天00:00~06:00进行检查。

    选择遵从包

    此处请选择“护网检查”

  5. 单击“确定”

立即执行全量基线检查

  1. 登录安全云脑控制台,并进入目标工作空间管理页面。
  2. 在左侧导航栏选择风险预防 > 基线检查,默认进入检查结果管理页面。

    图2 进入基线检查结果页面

  3. 在检查结果页面中,单击“立即检查”,并在弹出的确认框中,单击“确认”

    等待一段时间之后刷新页面,如果“最近检查时间”刷新为手动单击检查的时间,则页面显示结果为最新扫描结果。

清理加固基线检查风险项

基线检查分为手动检查项和自动检查项。针对自动检查项,执行基线检查后,需要对不合格检查项按照加固建议进行修复;针对手动检查项,需要用户自主排查对应检查项,针对不合格检查项进行手动整改,结果反馈到安全云脑中。

  • 自动检查项
    • 通过安全遵从包进行清理加固
      1. 在检查结果页面中,查看子检查项的风险状态。如果检查状态显示为不合格,则单击目标子检查项名称,进入检查项目详情页面。
      2. 筛选“不合格”的检查项,并根据“加固建议”修复风险点。
        如果加固建议中提供了跳转链接,可以直接单击链接,跳转至对应页面进行处理。
        图3 检查项加固建议
      3. 修改之后单击操作列“立即检查”对修改结果进行验证。

    部分关键风险项清理加固建议如下表所示

    表2 加固建议

    检查项名

    加固建议

    安全组入方向规则控制检查

    安全组入方向规则应满足最小化访问控制原则。

    一般,在非业务需要的情况下,以下情况视为未按最小化访问控制(风险由高到低):源地址为0.0.0.0/0;公网地址的掩码小于32;内网地址的掩码小于24。

    项目服务中的委托权限配置检查

    请在IAM委托设置中删除对应委托权限(Security Administrator,Tenant Administrator),提高账号安全性。

    高危操作!请根据您的需要谨慎处理。

    全局服务中的委托权限配置检查

    请在IAM委托设置中删除对应委托权限(Security Administrator,Tenant Administrator),提高账号安全性。

    高危操作!请根据您的需要谨慎处理。

    管理员账号AK/SK启用检查

    访问密钥(AK/SK,Access Key ID/Secret Access Key)是账号的长期身份凭证。

    由于管理员具有IAM用户管理权限,且具有大范围的操作权限。为了避免因AK/SK泄露带来的安全隐患,建议管理员账号不启用AK/SK身份凭证。

    主机弱密码检查

    HSS提供基线检查功能,主动检测主机中口令复杂度策略,给出修改建议,帮助用户提升口令安全性。

    如果提示需要修改,请根据修改建议进行修改,防止账户口令被轻易猜解。

    高危操作!请根据您的需要谨慎处理。

    委托账号检查

    通过创建委托,可以将资源共享给其他账号,或委托更专业的人或团队来代为管理资源。被委托方使用自己的账号登录后,切换到委托方账号,即可管理委托方委托的资源,避免委托方共享自己的安全凭证(密码/密钥)给他人,确保账号安全。

    在云服务环境中,如果创建委托给个人账号,可能会导致不可信,因此不建议委托给个人账号,建议删除个人委托账号。

    高危操作!请根据您的需要谨慎处理。

    主机高危端口暴露检查

    HSS提供资产管理功能,主动检测主机中的开放端口,及时发现主机中含有风险的各项资产。

    如果检测到开放了危险端口或者开放了不必要的端口,需要排查这些端口是否是正常业务使用,如果不是正常业务端口,建议关闭端口。对于危险端口建议进一步检查程序文件,如果存在风险建议删除或者隔离源文件。

    高危操作!请根据您的需要谨慎处理。

    检查主机是否存在Sudo漏洞

    HSS提供漏洞管理功能,检测Linux软件漏洞,通过与漏洞库进行比对,检测出系统和官方软件(非绿色版、非自行编译安装版,例如:SSH、OpenSSL、Apache、MySQL等)存在的漏洞,帮助用户识别出存在的风险。

    请在HSS漏洞管理页面,对Sudo漏洞进行修复处理。

    OBS桶服务端加密检查

    OBS服务端加密是在上传对象到桶时,将数据在服务端加密成密文后存储。再次下载加密对象时,存储的密文会先在服务端解密为明文,再反馈给用户。将数据加密后存储到OBS桶中,提高数据的安全性。

    请在OBS中开启服务端加密。

    CTS启用检查

    云审计服务(Cloud Trace Service,CTS)可以将当前账户下所有的操作记录在追踪器中,通过查询和审计操作记录,实现安全分析、资源变更、合规审计、问题定位等。

    请启用CTS检查,并配置追踪器。
  • 手动检查项
    1. 在基线检查页面的检查结果中,选择护网检查遵从包,并筛选手动检查的规范。
      图4 手动检查项
    2. 单击目标子检查项所在行的“操作”列的“查看详情”,进入检查项目详情页面。
    3. 查看检查描述和检查过程,确认是否满足。

      如果业务涉及对应检查项资源,根据检查过程进行资源自查;如果资源自查结果不满足检查项规则,可自主按照相关资料指南整改加固,加固完成之后通过检查结果页面将结果反馈到安全云脑。如果直接满足检查项规则,直接反馈结果到安全云脑即可。

    4. 检查完成后,返回检查规范页面,单击目标检查项“操作”列的“反馈结果”
    5. 在弹出的确认框中,勾选检查结果,并单击“确定”

相关文档